15% des internautes se sont déjà fait pirater un compte de messagerie ou de réseau social. Pour mieux comprendre les rouages de ce phénomène, Google s’est associé à l’Université de Californie à Berkeley et a scruté durant un an plusieurs marchés noirs en ligne où se vendent des mots de passe et des données personnelles. Il a fait part de ses découvertes à la Conférence Communications et Sécurité (CCS) de Dallas qui s’est achevée le 3 novembre dernier.
Les deux partenaires ont découvert 3,3 milliards d’informations d’identifications exposées involontairement par un tiers, c’est-à-dire obtenues par ingénierie sociale, le hacker se servant de méthodes psychologiques pour obtenir un mot de passe. 12,4 millions de données avaient été récupérées par du bon vieux phishing, et enfin 788 000 informations ont été subtilisées par des keyloggers, ces logiciels espions qui enregistrent l’activité de votre clavier.
Le phishing et le keylogging sont les techniques les plus dangereuses
Contrairement à ce que pourrait laisser penser tous ces chiffres, les informations récupérées par ingénierie sociale ne sont pas les plus problématiques car elles sont plus sommaires et souvent déjà dépassées. Le pourcentage de comptes pouvant ainsi être piratés est donc moindre. Seules 7% des adresses gmail étaient réutilisables parmi les données récupérées de cette façon. Mais 12 à 25% des attaques par hameçonnage ou keylogger ont, en revanche, généré un mot de passe valide.
La plus grande menace provient donc du phishing et du keylogging. Il existe aujourd’hui 25 000 outils de ce type. Certains peuvent récupérer plusieurs facteurs d’authentification à la fois pour déjouer les mesures de sécurité. Ainsi, 82% des outils d’hameçonnage et 74% des enregistreurs de frappe tentent aussi de collecter l’adresse IP et l’emplacement d’un utilisateur. 18% d’entre eux collectent en plus les numéros de téléphone, la marque et le modèle d’appareil utilisé.
Google renvoie à ses outils de prévention et de détection permettant, par exemple, d’avertir un utilisateur chaque fois qu’un nouvel appareil se connecte à son compte. De notre côté, on ne saurait trop rappeler quelques règles de base comme l’utilisation d’un gestionnaire de mot de passe et le recours systématique à la double authentification.
Source :
Blog de sécurité de Google
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.